Hej Ulrich
Ca. 4 måneder efter din reaktion har jeg fundet tid til at svare på den - og ved samme lejlighed på Martin Thorborgs reaktion, og igen din reaktion på Thorborg :D
Du har helt ret i, at man ikke behøver ligne Fort Knox, Pentagon eller Alcatraz. Det handler først og fremmest om at være bedre stillet end de andre, for der er mange hackere der plukker de lavthængende frugter.
Når det er sagt, så skal man også tænke på, hvor meget ens system betyder for andre: jo flere mennesker bruger ens system (fordi de skal eller fordi de vil - det gør ikke forskel), desto mere er man forpligtet til at tage IT-sikkerhed seriøst.
Det bekræftes ved at se på NIS2 - en lovgivning der kommer til at træde i kraft formentligt i 2025. Den forpligter alle (semi)-offentlige institutioner til et markant højere IT-sikkerhedsansvar end der er tilfældet i dag. Det gælder også alle virksomheder, der er underleverandør til det offentlige - bare at man er klar over det.
Og for en ordens skyld: IT-sikkerhed er ikke kun firewalls og routere. Teknik kan beskytte en og ens system til en meget lille grad. Det vigtigste er awareness, dvs. kendskab til hvordan hackere arbejder, hvad man kan gøre når der sker noget uventet, hvad man skal gøre når der sker noget uønsket, og ikke mindst hvordan man kan blive trænet i at opdage faresignaler. Derudover er konstant overvågning key: en firewall og antivirus er intet værd hvis det bliver holdt øje med.
Så for alle, der har en router med firewall (læs: næsten alle mennesker): tillykke med det. Har du nogen sinde kigget i den?
---
Hej Martin,
Du har ret i, at "The Power Of Now" ikke synes at være eksisterende når det kommer til cybersecurity. Og ja, det er dødkedeligt at snakke om cybersecurity. Det er derfor at når jeg kommer forbi hos virksomheder for at fortælle om IT-sikkerhed, at det ikke er kedelige fakta og opløftede pegefingre og "or else"-dommedagsprofetier.
Så for at reagere på din udfordring: saml de involverede i alle dine små virksomheder, og lav en fælles-arrangement, hvor alle betaler en lille del, så holder jeg gerne et oplæg med debatrunde, hvordan vi kan samle det hele. Det svarer lidt til, at 10 huse i et villakvarter har en lidt større græsplæne, men ingen af dem er stor nok til at det kan betale sig at købe en havetraktor: så køb en sammen med alle husejere i kvarteret.
Du har også ret i, at der ikke er små virksomheder der har både kapital og viden til at sikre sig. Men det viden har de heller ikke brug for! De skal have kendskab (som jeg skrev i min reaktion på Ulrich) hvordan en hacker arbejder, hvad man kan gøre når der sker noget uventet, hvad man skal gøre når der sker noget uønsket, og ikke mindst hovrdan man kan blive trænet i at opdage faresignaler. Ingen behøver at vide hvordan du holder øje med din trafik, hvordan du segmenterer dit netværk, og hvordan du sætter en IDS op. Det kan du overlade til mig eller (hvis jeg ikke tager fejl) Ulrich, eller en anden IT-sikkerhedsekspert. Husk: vi bliver først dyr, hvis du venter indtil skaden er sket.
For nylig snakkede jeg med en IT-chef i en vestjysk kommune. Han ville meget gerne have en etisk hacker på besøg der kiggede efter huller i systemet. Kommunedirektionen afviste planen. Og hvorfor? Fordi de gerne vil kunne sige "wir haben es nicht gewusst", når de bliver hacket.
Til sidst:
Driver du en almindelig virksomhed med lidt mail og en hjemmeside, så ja, men driver du en virksomhed hvor du selv udvikler software, så er det en helt anden sag.
Der er jeg delvist enig i med dig. Du kan stadigvæk outsource overvågning af en IDS til en virksomhed der ikke laver (meget) andet. Selv hvis du udvikler software, er der dele af virksomheden som ikke er meget anderledes end virksomheder der ikke udvikler software. Og de dele skal stadigvæk beskyttes. Og der er outsourcing absolut en god mulighed.
Du ringer bare - 70 2000 33
Bliv gratis medlem
Opret bruger